집단보호기준의 변천사(1.0~2.0)

클라우드 컴퓨팅, 모바일 인터넷, 빅데이터, 사물인터넷, 인공지능 등 신기술이 지속적으로 등장하면서 컴퓨터 정보시스템의 개념은 더 이상 모든 것을 포괄할 수 없으며, 특히 빅데이터의 가치는 더욱 그러하다. 인터넷의 급속한 발전이 가져온 데이터. 클라우드 컴퓨팅, 빅데이터, 산업 제어 시스템, 사물 인터넷, 모바일 인터넷 등 신기술의 지속적인 확장은 산업 구조 업그레이드의 견고한 기반이 되었습니다. 신흥 산업은 전체 경제 및 사회 구조를 구축하여 안전을 보장합니다.

서로 다른 비즈니스 목표, 서로 다른 기술, 서로 다른 애플리케이션 시나리오 및 기타 요인으로 인해 기본 정보 네트워크, 정보 시스템 및 클라우드 컴퓨팅 플랫폼을 포함하여 다양한 수준의 보호 개체가 다양한 형태로 나타납니다. 데이터 플랫폼, 사물 인터넷 시스템, 산업 제어 시스템 등 다양한 형태의 보호 개체는 다양한 위협에 직면하고 보안 보호 요구 사항도 다릅니다. 신기술 개발에 맞춰 기존 표준체계를 업그레이드해야 하며, 등급 보호 관련 표준도 신기술 변화에 맞춰야 한다. "기밀보호 1.0"의 표준 시스템은 적용성, 적시성, 사용 용이성, 운용성 측면에서 더욱 확장되고 개선되어야 하므로 "기밀보호 2.0"이 탄생하게 되었습니다.

범례: Leveled Protection 2.0 보안 프레임워크

계층화된 보호 객체의 특성을 기반으로 보안 기술 체계와 보안 관리 시스템을 구축하고 이에 상응하는 종합적인 네트워크 보안 방어 시스템을 구축한다. 보안 보호 기능 수준. 조직 관리, 메커니즘 구축, 보안 계획, 통보 및 조기 경보, 비상 대응, 상황 인식, 역량 강화, 감독 및 검사, 기술 테스트, 팀 구축, 교육 및 훈련, 자금 보장 등이 국가 네트워크에 따라 수행되어야 합니다. 보안 수준 보호 정책 및 표준.

우선, 보안의 의미는 초기 데이터 중심의 정보보안에서 정보시스템 중심의 정보보증(정보시스템 보안)으로 바뀌었고, 나아가 사이버공간 중심의 네트워크 보안으로 진화했다. 사이버 보안(사이버 보안)은 보다 풍부한 의미를 가지며 점차 정보 보안을 보안 분야의 가장 일반적인 지식으로 만들었습니다. "중화인민공화국 사이버 보안법"은 "국가가 네트워크 보안 계층적 보호 시스템을 실시한다"고 명확히 규정하고 있습니다. 관련 법률 조항과 표준도 일관성이 필요하다. '분류보호 2.0'은 시대에 맞춰 기존 표준의 '정보시스템 보안 수준 보호'를 '네트워크 보안 수준 보호'로 변경한다. 시스템 보안 수준 보호"가 변경되었습니다. "네트워크 보안 수준 보호를 위한 기본 요구 사항"입니다.

Classification Protection 2.0은 등급 가이드, 기본 요구 사항, 구현 가이드, 평가 프로세스 가이드, 평가 요구 사항, 설계 기술 요구 사항 및 기타 표준을 개정하고 개선하여 새로운 상황에서 클래스 보호 작업의 요구 사항을 충족합니다. "정보보호기술 네트워크 보안수준 보호 평가요구사항", "정보보호기술 네트워크 보안수준 보호 기본 요구사항", "정보보호기술 네트워크 보안수준 보호 보안설계 요구사항"이 2019년 5월 10일 발표되었으며, 2019년 5월 10일에 발표될 예정이다. 2019년 5월 10일. 2019년 12월 1일 시행.

네트워크 보안 수준 보호 작업을 수행할 때 먼저 수준 보호 개체를 명확히 해야 합니다.

Classified Protection 1.0은 수준 보호 개체를 정보 보안 수준 보호에 직접적인 영향을 미치는 특정 정보 및 정보 시스템으로 정의합니다. 클라우드 컴퓨팅 플랫폼, 사물 인터넷, 산업 제어 시스템과 같은 새로운 형태의 계층적 보호 개체가 계속 등장함에 따라 원래 정의의 한계가 점점 더 분명해졌습니다.

분류 보호 2.0은 보호 개체의 수준을 다음과 같이 정의합니다. 기본 정보 네트워크, 클라우드 컴퓨팅 플랫폼/시스템, 빅 데이터 애플리케이션/플랫폼/리소스, 사물 인터넷, 산업 제어 시스템 및 모바일 인터넷을 사용하는 시스템 포함 기술 등

(기본 요구 사항을 예로 들어 보세요)

Classification Protection 1.0: 안전 요구 사항

Classification Protection 2.0: 일반 안전 요구 사항 및 안전 확장 요구 사항

참고: Class Protection 2.0의 일반 안전 요구 사항은 레벨 보호 개체의 형태에 관계없이 충족되어야 하는 보편적인 요구 사항입니다. 클라우드 컴퓨팅, 모바일 인터넷, 사물 인터넷 및 산업 제어 시스템에 대해서도 충족해야 합니다. 일반 안전 요구사항, 충족해야 하는 추가 요구사항을 보안 확장 요구사항이라고 합니다.

클라우드 컴퓨팅 보안 확장 요구 사항은 클라우드 컴퓨팅의 특성에 따라 특별한 보호 요구 사항을 제시합니다.

클라우드 컴퓨팅 환경에 추가되는 주요 내용으로는 "인프라 위치", "가상화 보안 보호", "미러 및 스냅샷 보호", "클라우드 서비스 제공업체 선택", "클라우드 컴퓨팅 환경 관리" 등이 있다.

모바일 인터넷 환경에 대한 주요 추가 콘텐츠로는 '무선 접속점의 물리적 위치', '모바일 단말기 관리 및 제어', '모바일 애플리케이션 관리 및 제어', '모바일 애플리케이션 소프트웨어 조달', '모바일 애플리케이션 소프트웨어 조달' 등이 있다. 모바일 애플리케이션 소프트웨어 개발" 및 기타 측면.

사물인터넷 보안 확장 요구사항은 사물인터넷의 특성을 바탕으로 특별한 보호 요구사항을 제시하고 있다. IoT 환경에 추가되는 주요 내용으로는 '센싱 노드 물리적 보호', '센싱 노드 장비 보안', '센싱 게이트웨이 노드 장비 보안', '센싱 노드 관리', '데이터 융합 처리' 등이 있다.

산업 제어 시스템에 대한 보안 확장 요구 사항은 산업 제어 시스템의 특성을 기반으로 특별한 보호 요구 사항을 제시합니다. 산업 제어 시스템에 대한 주요 추가 사항으로는 "실외 제어 장비 보호", "산업 제어 시스템 네트워크 아키텍처 보안", "전화 접속 사용 제어", "무선 사용 제어" 및 "제어 장비 보안"이 있습니다.

기본 요구 사항을 예로 들면 중앙 및 삼중 방어 아이디어를 완벽하게 구현합니다(GB/T 25070과 일치하고 설계 요구 사항과 통합됨).

1. 등급 보호, 평가 요구 사항 및 설계 기술 요구 사항에 대한 기본 요구 사항을 통합하여 "1센터, 3중 보호" 보안 시스템을 구축합니다.

2. 일반 보안 요구 사항 + 신규 유형 애플리케이션 보안 확장 요구 사항에는 표준 사양에 클라우드 컴퓨팅, 모바일 인터넷, 사물 인터넷, 산업 제어 시스템 등이 포함됩니다.

이러한 변화를 바탕으로 Class Protection 2.0 시대로 진입하여 클라우드 컴퓨팅, 모바일 인터넷, 사물 인터넷, 산업 제어 및 빅 데이터 보안에 대한 포괄적인 보안 보호에 중점을 두어 중요한 보안을 보장해야 합니다. 정보 인프라.